Insights sur les comptes de service Identity and Access Management

Présentation

Cette page décrit les insights sur les comptes de service Identity and Access Management.

ID du type d'insight

L'ID du type d'insight IAM est le suivant :

google.iam.serviceAccount.Insight

Vous pouvez utiliser cet ID lorsque vous affichez et modifiez des insights à l'aide des commandes gcloud, ou des API REST et RPC.

Emplacement

Les commandes gcloud et les API de l'outil de recommandation exigent que vous spécifiiez un emplacement pour les insights que vous consultez ou modifiez. Un emplacement est une région, une zone ou une zone multirégionale. Dans le cas des insights sur les comptes de service Identity and Access Management, utilisez global comme emplacement dans gcloud et les interactions avec l'API.

Autorisations

Pour afficher ou mettre à jour les insights sur les comptes de service Identity and Access Management, vous devez disposer des autorisations requises.

Autorisations requises

Pour afficher les insights sur les comptes de service Identity and Access Management :

  • recommender.iamServiceAccountInsights.get
  • recommender.iamServiceAccountInsights.list

Pour modifier les insights sur les comptes de service Identity and Access Management :

  • recommender.iamServiceAccountInsights.update

Accorder des autorisations

Pour accorder les autorisations requises pour afficher ou modifier les insights sur les comptes de service Identity and Access Management, attribuez les rôles comme suit :

  • Pour n'autoriser que l'affichage des insights, accordez l'un des rôles suivants :
    • Rôle Lecteur de l'outil de recommandation IAM (roles/recommender.iamViewer)
    • Rôle Examinateur de sécurité IAM (roles/iam.securityReviewer)
    • Rôle Administrateur de sécurité IAM (roles/iam.securityAdmin)
  • Pour autoriser l'affichage et la modification des insights, accordez le rôle Administrateur de l'outil de recommandation IAM (roles/recommender.iamAdmin).

Vous pouvez également attribuer les rôles base suivants :

  • Pour n'autoriser que l'affichage des insights, attribuez le rôle Lecteur (roles/viewer).
  • Pour autoriser l'affichage et la modification des insights, attribuez le rôle Propriétaire (roles/owner) ou Éditeur (roles/editor).

Sous-types d'insight

Ce type d'insight accepte les sous-types suivants :

  • SERVICE_ACCOUNT_USAGE : cet insight fournit des informations sur les comptes de service qui n'ont pas été authentifiés au cours des 90 derniers jours. Par exemple, cet insight indique que le compte de service test-sa@test-project.iam.gserviceaccount.com n'a pas été authentifié depuis le 8 janvier 2020.

Contenu des insights

Exemple de contenu pour les insights sur SERVICE_ACCOUNT_USAGE :

{
  service_account_id: 123456789
  email: "test-sa@test-project.iam.gserviceaccount.com"
  last_authenticated_time: "2020-01-08T12:30:55Z"
}